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Procedes et systemes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature 
de messages. 
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(g) Procedes et systemes d'authentification d'accreditation 
ou de messages, et de signature de messages. 

Au lieu d'utiliser des accreditations multiples et un processus 
iteratif de verification, on utilise une accreditation profonde 
(exposant p eleve) et on tire au hasard un nombre D compris 
entre 0 et p-1. Les operations de verification passent par le 
calcul de la puissance D ieme de l 'accreditation inverse B. 

Application notamment aux cartes a puce et plus speciale- 
ment aux cartes bancaires. 
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Description 

PROCEDES ET SYSTEMES D 'AUTHENTICATION D 'ACCREDITATIONS OU DE MESSAGES A APPORT NUL DE 

CONNAISSANCE ET DE SIGNATURE DE MESSAGES 



La presente invention a pour objet des procedes 
et des systemes d' authentication d'accreditations 
ou de messages a apport nul de connaissance et un 
procede de signature de messages. 

L'invention trouve de nombreuses applications 
dans la verification de Pauthenticite de cartes 
bancaires dites "a puces" ou plus generalement de 
Pauthenticite de tout support permettant a son 
detenteur de commander un acces, (a un local, a un 
coffre, a une banque de donnees, a un systeme 
informatise, a une ligne telephonique, etc.). Eile 
s'applique egalement a la verification de Pauthenti- 
cite de messages de toute nature, ces messages 
pouvant commander une ouverture ou une ferme- 
ture, Penclenchement ou Parret d'un systeme, la 
commande de la mise a feu d'un engin, la commande 
d'un satellite, le declenchement d'une alerte etc... 
Enfin, Pinvention permet de signer des messages de 
telle maniere que leurs destinataires soient assures 
de leur provenance, et puissent a leur tour convain- 
cre un tiers sur cette provenance. 

L'invention s'appuye sur deux branches de la 
cryptographie qui sont respectivement la cryptogra- 
phie a cle revelee (ou a cle publique) et les 
procedures de verification a apport nul de connais- 
sance. Bien que Pinvention ne concerne pas un 
procede de chiffrement, il n'est pas inutile de 
rappeler en quoi consistent ces deux techniques. 

De tout temps le maintien du secret des communi- 
cations a ete une preoccupation. Aujourd'hui que les 
systemes de telecommunications proliferent, il est 
devenu un probleme majeur. De ce fait, les techni- 
ques de chiffrement et de dechiffrement ont pro- 
gresse considerablement ces dernieres annees. Ce 
progres a d'ailleurs ete encore accelere par Pavene- 
ment des calculateurs, qui ont permis d'elaborer des 
cryptosystemes a hautes performances. 

Dans un cryptosysteme, un message M, dit 
message en clair, est transforme a Paide d'une cle E, 
pour donner un message E(M) dit message chiffre. 
A la cle E correspond une cle inverse D qui permet 
de retrouver le message en clair par une transforma- 
tion inverse : D(E(M)) = M. 

Dans les techniques traditionnelles les deux cles 
E et D sont tenues secretes et ne sont connues que 
des seuls interlocuteurs. 

Cependant, un cryptosysteme original a ete 
developpe ces dernieres annees, dans lequel la cle 
de chiffrement n'est plus tenue secrete mais est, au 
contraire, revelee. Paradoxalement, cette revelation 
n'affaiblit en rien la securite du systeme. En effet, il 
se trouve que le chiffrement utilise une fonction telle 
que la connaissance de la cle E ne permet pas, dans 
la pratique, de retrouver la cle D de dechiffrement. 
On parle alors, de maniere imagee, d'une fonction 
"trappe" pour la fonction de chiffrement, fonction qui 
est particulierement difficile a inverser, sauf pour 
celui qui connaTt la valeur de la trappe. 

Les principes generaux de ces systemes ont ete 
decrits dans Particle de W. DIFRE et M. HELLMANN 



intitule "New Directions in Cryptography" publie 
5 dans IEEE, Transactions ou Information Theory, vol. 
IT-22, pp 644-654, Nov. 1976. 

On peut aussi consulter a ce sujet Particle de M. 
HELLMAN intitule The Mathematics of Public-Key 
Cryptography" publie dans Scientific American 

10 d'Aout 1979, voi.241, n°2, pp 130-139 ou sa 
traduction francaise dans Pedition de "Pour la 
Science" sous !e titre "Les Mathematiques de la 
Cryptographie a clef revelee", Octobre 1979, vol. 
n°24, pp 114-123. 

15 Les principes theoriques de la cryptographie a 

cle revelee ont pu etre mis en application de maniere 
particulierement efficace dans un systeme dit RSA 
(des initiates de ses inventeurs Ronald RIVEST - Adi 
SHAMIR et Leonard ADLEMAN). Ce systeme est 

20 decrit dans Particle de Martin GARDNER intitule "A 
new kind of cipher that would take millions of year to 
break" publie dans Scientific American, Aout 1977, 
pp. 120-121. Dans le systeme RSA la fonction trappe 
est la factorisation d'un nombre en elements 

25 premiers. On sait que Poperation de factorisation est 
Pune des plus difficiles de Parithmetique. Par 
exemple pour trouver, a la main, les facteurs 
premiers d'un nombre modeste a 5 chiffres comme 
29 083, it faut quelques minutes. Ces nombres sont 

30 127 et 229. Mais Pobtention du produit de 127 par 
229 ne prend que quelques secondes. L'asymetrie 
d'une telle operation est done flagrante. Naturelle- 
ment, le recours a un ordinateur accelere la 
factorisation mais il demeure que, pour factoriser un 

35 nombre de deux cents chiffres, mime en mettant 
ensemble les ordinateurs les plus puissants ordina- 
teurs. 

En pratique done, on ne sait pas factoriser un tres 
grand nombre. 

40 Ces proprietes sont exploitees dans le systeme 
RSA de la maniere suivante. On choisit deux 
nombres premiers distincts, soit a et b, et on en 
forme le produit, soit N = a.b. On choisit egalement 
un entier p, qui est premier avec le plus petit 

45 commun multiple de (a-1) et (b-1). Pour chiffrer un 
message, prealablement mis sous forme numerique 
M, M etant compris entre 0 et N-1, on calcule la 
puissance pieme de M dans Panneau des entiers 
modulo N, soit C = M? mod N. (On rappelle que la 

50 valeur d'un entier x modulo un entier y est egale un 
reste de la division de x par y ; ainsi, 27 modulo 11 
est egal a 5, car 27 divise par 1 1 donne 5 comme 
reste). La fonction "elever a la puissance p modulo 
N" definit alors une permutation des entiers de 0 a 

55 N-1. 

Pour dechiffrer un message tel que C il faut 
extraire la racine pieme du message chiffre C dans 
Panneau des entiers modulo N. On montre que cette 
operation revient a elever le nombre C a la puissance 
60 d, d etant Pinverse de Pexposant p modulo le plus 
petit commun multiple des nombres (a-1) et (b-1). Si 
Pon ne connait pas les facteurs premiers a et b, la 
determination de d est impossible et avec elle, 
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Poperation de dechiffrement. 

Par exemple, en choisissant A *=47 et b = 59, on 
obtient N== 47.59 = 2773. On petit prendre p = 17. La 
cle de codage est done definie par les deux nombres 
2773 et 17 (nature! I em ent, dans la pratique, les 
nombres utilises sont beaucoup plus grands que 
dans cet exemple). 

Le codage d'un mot M se presentant sous forme 
du nombre 920 s'effectue par Toperation suivante : 
c «= 9201 7 mo d 2773 
soit C = 948 mod 2773. 

Inversement, pour dechiffrer le nombre 948, on 
utilisera un exposant d inverse de 17 modulo 1334 
qui est !e ppcm de 46 et 58. Cet exposant d est 157 
car 157.17- 2669 soit 1 modulo 1334. Dechiffrer 948 
revient done a calculer 948 157 mod 2773 soit 920, ce 
qui est bien le message initial. 

Ainsi, dans le systeme RSA, les nombres N et p 
peuvent ils etre publics (on parle alors de la 
"puissance publique p"), mais les nombres a et b 
doivent rester secrets. 

Naturellement, if est toujours possible d'utiliser 
plus de deux facteurs premiers pour constituer le 
nombre N. 

Le systeme RSA est decrit dans le brevet des 
Etats-Unis d'Amerique N°4,405,829 delivre le 20 
Septembre 1983. 

Un tel systeme peut non seulement servir a 
chiffrer mais aussi a signer un message. 

Dans le contexte de la signature de messages une 
entite censee emettre des messages M, entite 
appelee signataire, est rep u tee travail ler avec une 
cle publique (N, p). Cette entite, pour signer ses 
messages avant emission, y ajoute une redondance 
pour obtenir un element de I'anneau des entiers 
modulo N, puis eleve cet element a la puissance d 
(inverse de p) modulo N. L'entite en question, 
detenant les parametres secrets de la cle publique, 
e'est-a-dire les deux facteurs premiers a et b, 
connait d. Le message signe est done 
S = [Red(M)] d mod N. 

Pour verifier ia signature, le destinataire du 
message utilise la cle publique (N, p) attachee a 
l'entite emettrice et calcule S p mod N, ce qui, par 
hypothese redonne I'element codant le message M 
avec sa redondance. En retrouvant ia redondance le 
destinataire en conclut ainsi que le message n'a pu 
§tre envoye que par l'entite qui pretend Pavoir fait, 
puisque seule, celle-ci, etait capable de traiter le 
message de cette maniere. 

Naturellement, les deux operations de chiffrement 
et de signature peuvent se combiner. Dans ce cas, 
I'emetteur commence par signer son message en 
utilisant sa cle secrete ; puis il le chiffre en utilisant la 
cle publique de son correspondant. A la reception, le 
correspondant dechiffre le message a I'aide de sa 
cle secrete, puis authentifie le message en utilisant 
le cle publique de I'emetteur. 

Ces techniques de cryptographic conduisent ainsi 
a des methodes d'authent'ification (d'un support, 
d'un message, etc.). Pour exposer plus en detail 
cet aspect, qui est au coeur de invention, on 
prendra comme exemple ('authentication des 
cartes bancaires dites "a puce", sans que cela 
constitue naturellement en quoi que ce soit une 



limitation de la portee de I'invention. Le procede 
decrit ci-apres est utilise dans les cartes bancaires 
a puce emises aujourd'hui en France et en Norvege, 
la generalisation des puces dans les cartes ban- 
5 caires est en cours dans ces deux pays. 

Une carte bancaire a puce possede une identite, 
qui est constitute par un enchainement d'informa- 
tions telles que le numero de serie de la puce, le 
numero du compte bancaire, une periode de validite 

10 et un code d'usage. La carte peut donner, sur 
demande, ces informations d'identite, qui se presen- 
ted sous forme d'une suite de bits formant un mot I. 

A Taide de regies de redondance, on peut 
constituer un nombre J deux fois plus long que I 

15 qu'on notera par la suite Red(l) = J. Par exemple, si 
le nombre I s'ecrit sous forme de quartets, chaque 
quartet peut etre complete par un quartet de 
redondance de maniere a former autant d'octets de 
type a codage de HAMMING. Le nombre J est 

20 appele souvent I'identite "ombragee" (I'ombre etant 
constitute en quelque sorte par la redondance qui 
accompagne I'identite). 

L'Organisation Internationale de Normalisation 
(ISO) a precise ces questions dans la note ISO/ 

25 TC97/SC20/N207 intitulee "Digital Signature with 
Shadow" devenue avant projet de norme DP9796. 

L'autorite habilitee a delivrer de telles cartes, en 
I'occurrence la banque, choisit un systeme a cle 
publique (N, p). Elle publie les nombres N et p mais 

30 garde secrete la factorisation de N. L' identite 
ombragee J de chaque carte est alors consideree 
comme un element de Tanneau des entiers modulo 
N. La banque peut en extraire la racine p ieme dans 
cet anneau (ce qui, comme expose plus haut, 

35 necessite la connaissance des facteurs premiers de 
N, ce qui est le cas). Ce nombre, note par Ea suite A, 
est en quelle que sorte I'identite de la carte signee 
par la banque. On I'appelle "accreditation". On a 
done par definition A=J 1/p mod N. 

40 Authentifier une accreditation revient alors a lire 
I'identite de la carte, soit sous la forme simple I, soit 
sous la forme ombragee J, puis a lire 1'accreditation 
A dans la carte, a elever celle-ci a la puissance p 
dans Tanneau des entiers modulo N (ce qui est 

45 possible puisque les parametres N et p sont connus) 
et a comparer enfin le resultat, soit A p mod N, a J. Si 
A p mod N est egal a J alors 1'accreditation A est 
authentique. 

Si cette methode permet de detecter des fausses 

50 cartes dont les identites auraient ete elaborees de 
maniere fantaisiste, elle presente neanmoins un 
inconvenient qui est celui de reveler 1'accreditation 
des cartes authentiques. Un verificateur peu scrupu- 
leux pourrait done reproduire des cartes identiques 

55 a celle qu'il vient de verifier (cartes que Ton pourrait 
appeler des "clones") en reproduisant 1'accredita- 
tion qu'il a lue dans la carte authentique. 

Or, I'authentification d'une accreditation ne re- 
quiert pas, en toute rigueur, ia communication de 

60 celle-ci au verificateur, mais seulement I'etablisse- 
ment d'une conviction que la carte dispose d'une 
accreditation authentique. Le probleme est done 
finalement de demontrer que la carte detient une 
accreditation authentique, sans reveler celle-ci. 

65 Ce probleme, qui semble insoluble a premiere 
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vue, peut cependant etre resolu par une procedure 
dite de preuve par apport nul de connaissance 
("zero-knowledge proof"). Dans une telle procedure, 
I'entite qui tente d'apporter la preuve (et que Con 
appellera par la suite le "veriffe") et I'entite qui attend 
cette preuve (et qu'on appellera le "verificateur") 
adoptent un comportement interactif et probabiliste. 

Cette technique a ete decrite par Shafi GOLD- 
WASSER, Silvio MICALI et Charles RACKOFF dans 
leur communication au "17th ACM Symposium on 
Theory of Computing" qui s'est tenu en Mai 1985, 
communication intitulee "The Knowledge Complexi- 
ty of Interactive Proof Systems" et publiee dans les 
Comptes Rendus pp.291 -304. Les premiers exem- 
ples ont ete trouves en theorie des graphes. 

Adi SHAMIR a pense le premier a utiliser ce 
precede en theorie des nombres et on pourrait 
I'appliquer aux cartes a puces de la maniere 
suivante. Ce procede, que Ton appellera par la suite 
procede S, est le suivant. 

Au debut de la transaction d'authentification, la 
carte proclame son identite I. Les regies de 
redondance connues de tous, permettent de de- 
duire J, deux fois plus long que I, qui correspond a 
P identite ombragee. La carte et le verificateur 
connaissent tous deux les nombres N et p publies 
par I'emetteur de cartes, mais seul ce dernier 
dispose de la factorisation du nombre N, qui est 
reformation de trappe utilisee pour calculer les 
accreditations. 

La transaction d' authentication se poursuit en 
repetant ie traitement suivant : 

- la carte tire au hasard un element r de I'anneau des 
entiers modulo N, en calcule la puissance p ieme (r p 
mod N) dans I'anneau, et transmet cette puissance 
au verificateur en guise de titre T pour Iteration ; 

- le verificateur tire au hasard un bit d (0 ou 1) (ou si 
Ton veut, tire a pile ou face) pour demander a la carte 
en guise de temoin t : pour pile I'element r, et pour 
face le produit de I'element r par I'accredition dans 
I'anneau (r.A mod N) ; autrement dit, dans Pincerti- 
tude du tirage le verifie doit tenir disponible r et r.A 
mod N ce qui implique la connaissance de A ; 

- le verificateur eleve le temoin t a la puissance p 
modulo N pour retrouver : pour pile, le test T, et pour 
face le produit dans I'anneau du titre T par I'identite 
ombragee J. 

Ainsi, d'une part, il faut disposer de I'accreditation 
A pour posseder simultanement les deux valeurs 
possibles du temoin t, soit r et rA. D'autre part, le 
verifie ne peut deduire de cette transaction la valeur 
A de I'accreditation car, meme s'il demande au 
verifie de lui fournir rA, il ne connaTt pas r, qui a ete 
tire au hasard par le verifie (le verificateur connait 
bien r p , fourni comme titre par le verifie, mais il est 
incapable d'en extraire la racine p ieme modulo N, 
puisqu'il ne connaTt pas la factorisation de N). 

Le verifie qui ne serait pas detenteur d'une 
accreditation authentique pourrait bluffer en tentant 
de deviner le tirage du verificateur. S'il parie sur n 0 n 
("pile") il estime que le verificateur elevera le titre a la 
puissance p modulo N et que le verificateur 
comparera le resultat obtenu au titre T. Pour 
convaincre le verificateur, ie verifie devra fournir 
comme titre T le temoin eleve a la puissance p. Si ie 
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bluffeur parie au contraire sur n 1° ("face") il estime 
que le verificateur elevera le titre a la puissance p et 
multipliera ensuite le resultat obtenu par J. II lui faut 
done, pour convaincre, transmettre comme titre T, le 
temoin eleve a la puissance p multiplie par J. 

Autrement dit, le verifie a une chance sur deux de 
donner une bonne reponse s'il renverse la chronolo- 
gie des evenements, e'est-a-dire s'il determine non 
pas d'abord le titre T puis le temoin t, mais s'il parie 
sur le tirage du verificateur et s'il constitue le titre a 
posteriori a I'aide d un temoin tire au hasard. 

Dans ce processus probabiliste, les chances du 
verifie de deviner fa bonne reponse sont de une sur 
deux a chaque traitement, de sorte qu'en repetant 
ce traitement k fois, les chances du bluffeur tombent 
a 1/2 k . Le facteur de securite de ce procede 
d'authentification est done de 2 k . En pratique, k est 
de I'ordre de 16 a 24. 

Dans un tel procede le nombre p est petit, par 
exemple 3. On peut aussi utiliser 2, mais dans ce cas 
certaines precautions doivent etre prises dans le 
choix des facteurs premiers du nombre N pour que 
la fonction n 6lever au carre modulo N" soit une. 
permutation sur les residus quadratiques de I'an- 
neau des entiers modulo N. Les nombres a et b 
doivent etre des entiers de la forme 4x+3 ; on 
rappelle que les residus quadratiques sont des 
elements qui sont des carres dans I'anneau et 
I'identite ombragee J doit pouvoir etre modifiee en 
un residu quadratique representatif avant de calculer 
I'accreditation. Cette solution est decrite dans le 
document deja cite ISO/TC97/SC20/N207. D'autres 
solutions existent cependant. 

L'entier N, comme dans les cartes bancaires 
aujourd'hui, peut etre de la forme N = K+ 2 320 ou K 
est un entier de 240 bits publie et connu de tous les 
terminaux. Seul I'emetteur de cartes dispose de la 
factorisation de N. II est tout de meme conseille de 
prendre des nombres composes plus grand. 

L'identite I, comme dans les cartes bancaires 
aujourd'hui, peut etre un motif de 160 bits, obtenu 
par le chatnage d'un numero de serie de la puce de 
44 bits, d'un numero de compte bancaire de 76 bits, 
d'un code d'usage de 8 bits et d'une periode de 
validite de 32 bits. L'identite ombragee presente 
alors 320 bits. L'accreditation est alors la racine 
cubtque de ce mot, modulo N. C'est un nombre de 
320 bits. 

Un perfectionnement de cette technique consiste 
a utiliser non pas I'accreditation elle-meme A 
(A p mod N=J) mais son inverse, note B. On a alors 
B p J mod N = 1 ce qui permet de simplifier la 
comparaison du titre et du temoin. En effet, il suffit 
alors de transmettre un temoin egal a r(dB-d-M) 
(qui est egal soit a r si d=0 soit a rB si d = 1 et de 
calculer t p (dJ-d + 1 ) mod N pour trouver le titre T. Ce 
dernier peut alors n'etre transmis que partiellement, 
par exemple sous forme d'une centaine de ses bits 
ou encore mieux apres une compression par une 
fonction a sens unique. 

On rappelle qu'une fonction de compression fait 
correspondre a un ensemble de n elements un 
ensemble de m autres elements, m etant inferieur a 
n et tel qu'il sont pratiquement impossible de 
localiser deux elements ayant meme image. 
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La figure 1 annexee a la description iilustre ce 
procede. Les fleches allant de gauche a droite 
represented une transmission du verifie vers le 
verificateur (identite I, titre T, temoin t) et les fleches 
allant de droite a gauche une transmission dans le 
sens inverse (bit d tire au hasard). Un tirage au 
hasard est represents par un cercle associe a un 
point d'interrogation. Le signe e signifie "appartient 
a" et les nombres entre accolades designent 
I'ensemble des entiers compris entre les deux 
bornes indiquees, bornes comprises. La compari- 
son finale decidant de I'authenticite de I'accredita- 
tion est schematisee par un signe egal surmonte 
d'un point d'interrogation. Le tirete marque un 
ensemble d'operations effectuees k fois (iteration). 

II a ete propose recemment un procede encore 
plus perfectionn6, qui utilise des accreditations 
multiples. Ce procede a ete decrit dans la communi- 
cation de Amos FIAT et Adi SHAMIR, publiee dans le 
Compte Rendu de CRYPTO' 86. Santa Barbara, CA, 
USA, August 1986, communication intitulee : "How 
to Prove Yourself : Practical Solutions to Identifica- 
tion and Signature Problems", Springer Verlag, 
lecture Notes in Computer Science, N°263, 
pp.1 86-1 94. 

En notant dans la carte plusieurs accreditations, 
on augmente i'efficacite du traitement, et on reduit le 
nombre d'iterations necessaires pour atteindre un 
niveau donne de securite vis-a-vis de la chance 
laissee au bluffeur. Dans cette methode de diversifi- 
cation, on produit n identites diversifies 11, In qui, 
compietees par leurs ombres, donnent n identites 

diversifies ombragees J1 Jn. La carte contient 

les n accreditations inverses B1, Bn qui verifient 
les relations Ji.BiP mod N — 1. 

Dans ce procede, que Ton notera FS, chaque 
traitement ou iteration devient alors le suivant (en 
prenant 2 pour exposant public) : 

- la carte tire au hasard un element r dans I'anneau 
des entiers modulo N, puis transmet au verificateur 
128 bits du carre de cet element en guide de titre T ; 

- le verificateur tire au hasard un mot de n bits soit 
b1, bn, qu'il transmet a la carte ; 

- la carte calcule alors le produit de I'element r par 
les accreditations inverses designees par les bits a 
"1" dans le mots de n bits b1, bn. Et la carte 
transmet en guise de temoin la valeur t ainsi 
obtenue : 

t=r.(b1.B1-b1+1) (bn.Bn-bn + 1) mod N 

- le verificateur teste ce temoin t en relevant au 
carre dans I'anneau, puis en multipliant ce carre par 
les identites ombragees diversifies designees par 
les bits a "1" du mot de n bits, 

soit : tP.(b1.J1-b1+1) (bn.Jn-bn+ 1) mod N 

L'authenticite est prouvee si Ton retrouve les bits 
publies du titre T. 

N'importe qui pourrait tirer au hasard un temoin t, 
puis, dans I'anneau, elever au carre ce titre et 
multiplier par une selection d'identites diversifies 
pour constituer apres coup un titre T. En effet, en 
donnant ce titre au debut du traitement, si la 
question posee est bien la selection escomptee, 
alors le temoin t est une reponse acceptable qui 
authentifie la carte. 

II y a done bien une stategie gagnante pour le 



devin qui connaTt a I'avance le tirage du verificateur. 

Pour passer avec succes une iteration, le bluffeur 
doit, cette fois, deviner un mot de n bits et non plus 
un seul bit comme dans le procede GMR. Si les 2 n 
5 valeurs sont equiprobables, le produit de la multipli- 
city des accreditations (n) par le nombre des 
iterations (k) reduit exponentieilement les chances 
laissees au biuffeur. Le facteur de securite de ia 
transaction d'authentification est alors 2 kn . 

10 A chaque iteration, le verifie transmet par exemple 
128 bits (par exemple un quart des 512 bits) et un 
element de Panneau, et le verificateur transmet n 
bits. A chaque iteration, le verificateur et la carte 
calculent un carre et font un nombre de multiplica- 

15 tions egal au nombre de bits a "1" dans ie mot de n 
bits (polds de HAMMING). 

Comme autre compromis entre efficacit6 de 
Iteration et nombre maximum de multiplications a 
effectuer durant Titeration on peut limiter le nombre 

20 de bits a 1 dans le mot de n bits. 

On pourra consulter a propos de cette technique, 
le compte rendu de la communication de Amos FIAT 
et Adi SHAMIR au "5e Congres Mondial de ia 
Protection et de la Securite Informatique et des 

25 Communications" qui s'est tenu a Paris les 4-6 Mars 
1987 sous le titre "Unforgeable Proofs of Identity". 

La figure 2 annexee iilustre schematiquement ce 
procede FS, avec les memes conventions que pour 
la figure 1. 

30 Ces procedes d'authentification d'accreditation 
peuvent se transposer aisement a ('authentication 
d'un message emis par une entite censee etre 
accreditee. Dans ce cas, le titre T transmis par le 
verifie n'est plus forme uniquement par r p mod N, 

35 comme dans le cas precedent, mais aussi par le 
message m a authentifier. Plus precisement, le 
resultat par une fonction de compression, notee f, 
dont les arguments sont m et r p mod N. 

Les figures 3 et 4 schematised ces procedes 

40 dans le cas des techniques S et FS. 

enfin, ces techniques peuvent egalement servir a 
signer un message La fonction de compression 
joue alors le role assign e au tirage du verificateur. 
Plus precisement, dans le procede de type S, le 

45 signataire tire k elements r dans I'anneau des entiers 
modulo N, soit R1, R2, rk, qui vont jouer le role 
des differents r tires au cours des k iterations. Le 
signataire eleve ces entiers au carre mod N et 
calcule la fonction de compression f(m, r 2 mod N, ... 

50 rk 2 mod N) ce qui fournit un nombre D ayant pour 
bits d1, d2, dk. Chaque bit di de ce nombre joue le 
roie que jouait le bit tire au hasard dans le procede 
d'authentification d'accreditation decrit plus haut. Le 
signataire forme alors k titres ti*=riB dI mod N, avec 

55 i« 1,2...k. Le message signe est alors constitue par 
un multiplet forme par m, I, d1 , dk, t1 , .... tk. 

Pour verifier un tel message signe on eleve au 
carre les titres ti modulo N et on multiplie chaque 
carre par modulo N. On calcule ensuite la fonction 

60 de compression f(m, T1 2 J dl mod N tk 2 J dk mod N) 

et Ton compare le resultat obtenu avec le nombre D, 
soit avec les bits d1, d2, dk. 

Dans Tapplication a la signature de messages, le 
nombre k est plus grand que dans I' authentication. 

65 II est de Tordre de 60 a 80. En effet, la verification ne 
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s'effectue plus en temps reel et le fraudeur a done 
tout son temps pour elaborer une fausse signature. 

Les figures 5 et 6 schematised ce procede dans 
le cas des techniques S et FS. Si toutes ces 
techniques de Part anterieur conviennent bien en 
theorie, elles presentent cependant des inconve- 
nients du point de vue pratique. En particulier, la 
methode FS, avec la multiplicity de ses accredita- 
tions, consomme un espace memoire important. Par 
ailleurs, la necessite d'effectuer une repetition des 
traitements allonge la duree des echanges. Enfin, la 
multiplicite des temoins allonge les informations a 
ajouter a un message pour le signer. 

La presente invention a justement pour but de 
remedier a cet inconvenient. A cette fin elle 
preconise une technique utilisant une seule accredi- 
tation (et non plus des accreditations multiples) et 
un seul traitement (et non plus une repetition de 
traitements). 

De facon plus precise, la presente invention a 
d'abord pour objets une procede d'authentification 
d'une accreditation et un procede d'authentification 
d'un message, procedes qui mettent tous deux en 
oeuvre, d'une part, ('elaboration d'une accreditation 
basee sur le systeme a cle publique et, d'autre part, 
une preuve a apport nul de connaissance ; 

a) pour ce qui est de ('operation d'elaboration 
de ('accreditation, elle comprend les operations 
connues suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 
ces nombres qui constituent alors les facteurs 
premiers de N, choisit un entier p et publie N et 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constitute, puis 
completee par redondance pour former un mot 
J appele identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine pieme de I'identite ombra- 
gee dans I'anneau des entiers modulo N, (A p 
modN-J), 

- dans un support approprie contenant une 
memoire, I'autorite charge Pinverse modulo N 
de ('accreditation A, soit un nombre B appele 
accreditation inverse (B n J mod N = 1), ce 
nombre B constituant I'accreditation qu'il s'agit 
d'authentifier ; 

b) pour ce qui est de I'authentification de 
I'accreditation ainsi elaboree, cette operation 
consiste, de maniere elle aussi connue, en un 
processus numerique interactif et probabiliste 
du type a apport nul de connaissance et 
s'etablissant entre un support contenant une 
accreditation, support appele "le verifie" et un 
organe d'authentification appele "le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par les opera- 
tions connues suivantes : 

- le verifie tire d'abord du hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N, le resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 



bits du titre T, 

- le verificateur tire ensuite au hasard un 
nombre D et demande au verifie d'effectuer 
certaines operations sur r et sur I'accreditation 

5 inverse B, ces operations etant liees au nombre 

D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

10 - le verificateur effectue a son tour des 

operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre d tire au 
hasard par le verificateur et effectuees dans 

15 I'anneau des entiers modulo N, 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
Pauthenticite de I'accreditation s'il retrouve ces 

20 bits. 

Le procede d'authentification d'accreditation se- 
lon ('invention est caracterise par le fait que : 

a) lors de I'elaboration de I'accreditation (B) 
le nombre p servant a extraire la racine p ieme 

25 de I'identite ombragee (J) est choisi grand et 

comprend au moins une dizaine de bits, 

b) pour I'authentification de I'accreditation le 
processus ne comprend qu'un seul traitement 
interactif et probabiliste (et non une repetition 

30 d'un tel traitement), ce traitement unique 

consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

35 - I'operation que le verifie effectue pour delivrer 

un temoin t est le produit, dans I'anneau des 
entiers modulo N, de I'element r qu'il a lui meme 
tire au hasard, par la puissance Dieme de 
I'accreditation inverse B, le titre etant alors 

40 t = r.B D modN, 

- les operations qu'effectue le verificateur sont 
le produit, dans I'anneau des entiers modulo N, 
de la puissance p ieme du temoin t par la 
puissance D ieme de I'identite ombragee J, soit 

45 tPJ D modN, 

- I'operation de comparaison effectuee par le 
verificateur porte alors sur les bits du titre T 
delivres par le verifie et sur les bits obtenus par 
I'operation precedente, Pauthenticite de I'ac- 

50 creditation etant acquise en un seul traitement 

des lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur dans t p 
J D mod N. 

Pour ce qui est du procede d'authentification de 
55 message, ie procede selon I'invention est caracte- 
rise par le fait que : 

a) lors de I'elaboration de ('accreditation du 
donneur d'ordre, le nombre p servant a extraire 
la racine p ieme de I'identite ombragee est 

60 choisi grand et comprend au moins une dizaine 

de bits, 

b) pour I'authentification du message, le 
processus ne comprend qu'un seul traitement 
interactif et probabiliste (et non une repetition 

65 d'un tel traitement), ce traitement unique 
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consistant dans les operations suivantes : 

- le nombre que le verif icateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

- Poperation que le verifie effectue pour deiivrer 
le temoin t est le produit, dans I'anneau des 
entiers modulo N, de I'element r qu'il a lui meme 
tire, par la puissance Dieme de Paccreditation 
inverse B, le temoin etant alors r.B D mod N, 

- les operations qu'effectue le verificateur sont 
le produit, dans I'anneau des entiers modulo N, 
de ia puissance p ieme du temoin t, par la 
puissance D ieme de I'identite ombragee J, 

- le verificateur forme la fonction de compres- 
sion du message et du resultat des operations 
precedentes soit f (m, t p J D mod N), 

- la comparaison que le verificateur effectue 
porte alors sur la fonction de compression qu'il 
a obtenue et sur le titre T que le verifie lui a 
delivre en debut de processus de verification, 
Pauthenticite du message etant acquise en un 
seul traitement des lors que, a la fin de ce 
traitement, il y a correspondace entre tous les 
bits de la fonction de compression obtenue par 
le verificateur et les bits du titre delivres par le 
verifie. 

L'invention a enfin pour objet un procede de 
signature de message. Dans ce cas ('accreditation 
du signataire est elaboree selon le procede connu a 
cle publique decrit plus haut et ia signature consiste 
en un traitement numerique probabiliste connu 
comprenant les operations suivantes : 

- le signataire tire au hasards au moins un entier r 
appartenant a I'anneau des entiers modulo N, 

- le signataire eleve cet entier r a ia puissance p 
modulo N, 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m a 
signer et la puissance r D mod N obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur Paccredi- 
tation inverse B, ces operations etant liees au 
nombre D tire au hasard et etant effectuees dans 
I'anneau des entiers modulo N, 

- le signataire transmet le message m, son identite I, 
le mot D, le ou les temoins t, Pensemble constituant 
un message signe. 

Le procede de signature de message selon 
l'invention est caracterise par le fait que : 

a) lors de Pelaboration de ('accreditation du 
signataire le nombre p servant a extraire la 
racine p ieme de I'identite ombragee est choisi 
grand et comprend plusieurs dizaines de bits, 

b) pour Poperation de signature du mes- 
sage : 

- le signataire ne tire au hasard qu'un seul entier 
r appartenant a I'anneau des entiers modulo N, 

- la fonction de compression a pour arguments 
le message m et la puissance p ieme de r, ce qui 
fournit un nombre D, 

- le titre unique produit par le signataire est le 
produit, dans I'anneau des entiers modulo N, de 
rentier r par la puissance D Ieme de raccredlta- 
tion inverse B, 

- le signataire fournit, avec le message m, son 



identite I, le mot D et le titre t. 
Dans les deux premiers procedes, le nombre p 
comprend au moins 10 bits et de preference entre 16 
et 24 bits. 

5 Dans le procede de signature le nombre p est plus 

grand et comprend plusieurs dizaines de bits, par 

exemple de 60 a 80 bits. 

La valeur de p est en effet le facteur de securite 

d'un traitement elemental re. Si p est convenable 
10 pour le but recherche alors qu'on ne dispose que 

d'une seule accreditation profonde, on peut se 

contenter d'un seul traitement. 

La presente invention a egalement pour objet des 

systemes qui mettent en oeuvre ces procedes. 
15 De toute facon l'invention sera mieux comprise a 

la lumiere de la description qui va suivre, qui se 

refere a des dessins annexes. Ces dessins com- 

prennent : 

- les figures 1 a 6, deja decrites, qui illustrent 
20 les procedes S et FS de Part anterieur ; 

- la figure 7 illustre le procede d'authentifica- 
tion d'une accreditation selon l'invention ; 

- la figure 8 illustre le procede d'authentifica- 
tion de message selon Pinvention ; 

25 - la figure 9 illustre le procede de signature de 

message selon rinvention ; 

- la figure 10 montre schematiquement un 
ensemble permettant de mettre en oeuvre les 
procedes de Pinvention. 

30 Les conventions utilisees dans les figures 7 a 9 
sont les memes que celles des figures 1 a 6. Dans 
tous les cas Paccreditation est obtenue par Putiiisa- 
tion d'un nombre p qui est grand. Les inventeurs 
qualifient cette accreditation de "profonde" par 

35 opposition aux accreditations habituelles utilisees 
dans ce domaine pour lesquelles p etait de I'ordre 
de 2 ou 3 et qui sont, en quelque sorte "superfi- 
cielles". 

Dans le cas des cartes a puce on a done, dans le 
40 cas de Pinvention, le traitement suivant ; 

- la carte tire au hasard un element r (1^r^N-1) 
dans I'anneau des entiers modulo N, et donne en 
guise de titre T 128 bits de la puissance publique de 
cet element (r p mod N) ; 

45 - le verificateur tire au hasard un exposant D de 0 a 
p-1 et le transmet a la carte ; 

- la carte calcule le temoin t qui est le produit (dans 
I'anneau) de I'element r par la puissance D ieme de 
Paccreditation B (t = r.B D mod N) ; 

50 - le verificateur calcule dans I'anneau le produit de la 
puissance p ieme du temoin t par la puissance D 
ieme de I'identite ombragee J, soit t p .J D mod N. 

La preuve est aceptee si tous les bits publies du 
titre T sont ainsi retrouves. 

55 N'lmporte qui ayant devine la question du verifica- 
teur (lexposant D) peut ttrer au hasard un temoin t, 
puis faire a Pavance les calculs du verificateur, 
e'est-a-dire faire ie produit dans Panneau du temoin t 
a I'exposant p par I'identite ombragee J a Pexposant 

60 D. En donnant le titre T au debut de Piteration, si la 
question posee est bien D, alors le temoin t est une 
reponse acceptable. 

Ce raisonnement indiquant une strategie ga- 
gnante pour le devin montre que Pon ne sait pas 

65 distinguer des donnees provenant de Penregistre- 
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ment cTune transaction reussie et des donnees 
provenant d'une mascarade const ruite en inversant 
la chronologie de I 'iteration, c'est-a-dire en choisis- 
sant les exposants avant les titres. Le verificateur 
recueille des informations impossibles a distinguer 
de celles qu'il aurait pu produire tout seul, sans 
interaction avec le verifie, ce qui montre que 
("accreditation reste bien secrete dans la carte. 

Pour passer avec succes un traitement d'authen- 
tification, le bluffeur doit deviner un exposant D. Si 
les p valeurs de D sont equiprobables, la chance 
laissee au bluffeur est de 1/p. Le facteur de securite 
est done p. 

Dans un tel traitement le verifie transmet une 
centaine de bits en un element de Panneau ; le 
verificateur transmet un exposant (D). Pour mener a 
bien un traitement le verifie calcule d'abord la 
puissance publique de Peiement r tire au hasard, 
puis le produit de cet element r par la puissance D 
ieme de Paccreditation B. Le verificateur fait un peu 
moins de calcul pour retrouver le titre T car i! peut 
combiner intelligemment les calculs de puissance : 
la puissance Dieme de Pidentite ombragee J et la 
puissance pieme du temoin t. 

Si i'exposant p vaut 2 16 , alors Pexposant D est un 
nombre de 16 bits. Ainsi en un seul traitement, avec 
un facteur de securite de 2 1 6 soit 65536, le verifie 
calcule dans Panneau 16 carres, puis 16 carres et 
une moyenne de 8 multiplications. Le verificateur ne 
calcule que 16 carres et procede en moyenne a 8 
multiplications. 

Le procede d'authentification de message est 
illustre sur la figure 8 avec les memes conventions, la 
difference avec la figure 7 consistant uniquement 
dans la formation de la fonction de compression f. 

Pour signer un message, le detenteur de I'accre- 
ditation B de profondeur p commence par tirer au 
hasard un element r dans Panneau puis calcule la 
puissance publique de Peiement r(r? mod N). Puis il 
produit un exposant D grace a la fonction de 
compression f appliquee a la concatenation du 
message m et de la puissance publique de Peiement 
r. Le temoin t est le produit de Peiement r par la 
puissance Dieme de Paccreditation B. Le message 
signe est la concatenation de Pidentite I, du 
message m, de Pexposant d et du temoin t. 

Pour verifier une signature, le verificateur calcule 
dans Panneau le produit du temoin t a la puissance p 
par Pidentite ombragee J (reconstruite a partir de 
Pidentite proclamee I) a la puissance D pour 
reconstituer ce qui doit etre la puissance publique 
de Peiement r. Enfin, le verificateur doit retrouver 
I'exposant D en appliqant la fonction f a la concate- 
nation du message m et de la puissance publique 
reconstitute. 

C'est ce qui est illustre sur la figure 9. 

Si p s'ecrit sur 64 bits quelconques, le signataire 
fait environ 192 multiplications dans Panneau (il doit 
calculer successivement deux puissances avec des 
exposants de 64 bits sans pouvoir les combiner) 
pour mener a bien Poperation. Cette complexite est 
deja nettement inferieure a celle du procede RSA : 
768 multiplications en moyenne pour une exponen- 
tielle modulo un nombre compose sur 512 bits, et 
1536 pour un nombre compose sur 1024 bits. 



Si p s'ecrit sur 64 bits quelconques, le verificateur 
fait seulement environ 112 multiplications, car il 
combine ses operations en 64 carres et trois fois 16 
multiplications en moyenne, pour calculer d'un seul 
5 coup tP.J D mod N. II est heureux que Pauthentifica- 
tion soit plus simple que Pelaboration de la signa- 
ture, car chaque signature est appelee a etre verifiee 
plusieurs fois. 

Mais, on peut choisir 2 64 (e'est-a-dire une puis- 

10 sance de 2) comme exposant p pour simplifier les 
calculs, sans modifier la securite du systeme. 
L'elevation a la puissance p se fait alors par 64 
carres. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La 

15 verification d'une signature se traduit en moyenne 
par 96 multiplications dans Panneau, soit 12,5<>/o du 
RSA a 512 bits et 6,20/o du RSA a 1024 bits. 

Dans le procede anterieur FS decrit plus haut, 
avec 64 accreditations multiples dans le meme carte, 

20 il faut un carre et une moyenne de 32 multiplications. 
Ainsi, la methode de Pinvention a accreditation 
profonde, se paye par un surplus de calculs d'un 
facteur multiplicatif de Pordre de 3. Quand, dans Part 
anterieur, on se limite a 8 accreditations dans la 

25 carte, avec 8 temoins dans la signature, (8 iterations 
a 5 multiplications, soit 40 multiplications), le rapport 
diminue encore un peu, enfaveur de Pinvention. 

Bien entendu, on peut aussi choisir 2 66 + 1 
comme exposant public (e'est-a-dire un nombre 

30 impair). Au prix d'une seule multiplication supple- 
mental pour calculer une puissance publique, on 
leve ainsi certaines restrictions relatives aux residus 
quadratiques dans Panneau (lorsque Pexposant p 
est pair, plusieurs elements de Panneau pouvant 

35 correspondre a la racine pieme, mais un seul 
convenant). 

La figure 10 represente schematiquement un 
calculateur perrnettant de mettre en oeuvre Pinven- 
tion. 

40 Le calculateur represente comprend une interface 
entrees-sorties ES, une unite centrale UC, une 
memoire programmable du type a lecture seulement 
(PROM), une memoire a lecture seulement (ROM) et 
une memoire a acces direct (RAM). Le calculateur 

45 comprend encore un organe G du type generateur 
de bruit ou generateur aleatoire. 

L'accreditation et les informations d'identite ins- 
crites dans la memoire PROM inaccessibles de 
Pexterieur. Les programmes sont inscrits dans la 

50 memoire ROM. La memoire RAM sert a stocker des 
resultats de calcul. Le generateur G est utilise pour 
les tirages au sort des divers nombres intervenant 
dans le procede (r, D). 

L'unite centrale et les memoires peuvent etre 

55 structurees comme le microcalculateur autopro- 
grammable monolithique decrit dans le brevet 
4,382,279 des Etats-Unis d'Amerique. 

La fonction de compression peut faire appel a 
Palgorithme DES (Data Encryption Standard). II 

60 existe une carte a puce, fabriquee par PHILIPS qui 
realise cet algorithme DES. 
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Revendications 



1. Procede d 'authentication d'une accredi- 
tation a apport nul de connaissance, 

a) cette accreditation ayant ete elaboree par un 
procede du type a cle publique comprenant les 10 
operations suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 

ces nombres, choisit un entier p et publie N et 15 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constitute, puis 
completee par redondance pour former un mot 

J appele identite ombragee, 20 

- une accreditation A est elaboree par I'autorite 
en prenant la racine pieme de Pidentite ombra- 
gee dans I'anneau des entiers modulo N 
(A = J 1/ Pmod N), 

- dans un support approprie contenant une 25 
memoire, I'autorite charge I'inverse modulo N 

de Paccreditation A soit un nombre B appele 
accreditation inverse (B n J mod N=1), ce 
nombre B constituant Paccreditation qu'H s'agit 
d'authentifier, 30 

b) rauthentification de Paccreditation ainsi 
elaboree, consistant en un processus numeri- 
que interactif et probabiliste du type a apport 
nul de connaissance et s'etablissant entre un 
support contenant une accreditation, support 35 
appele "le verifie" et un organe d'authentifica- 

tion appele "le verificateur", ce processus 
comprenant au moins un traitement numerique 
constitue par les operations connues sui- 
vantes : 4 0 

- le verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N, le resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 45 
bits du titre T, 

-le verificateur tire ensuite au hasard un 
nombre (d) et demande au verifie d'effectuer 
certaines operations sur r et sur I'accreditation 
inverse B, ces operations etant liees au nombre 50 
(d) tire au hasard par le verificateur et effec- 
tuees dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des 55 
operations portant sur le temoin t delivre par le 
verifie et sur Pidentite ombragee J du verifie, 
operations liees elles aussl au nombre d tire au 
hasard par le verificateur et effectuees dans 
I'arrneau des entiers modulo N, 60 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
I'authenticite de Paccreditation s*il retrouve ces 

bits, 65 



ce procede etant caracterise par le fait que : 

a) lors de Pelabo ration de Paccreditation 
(B) le nombre p servant a extraire la racine 
p ieme de Pidentite ombragee (J) est choisi 
grand et comprend au moins une dizaine 
de bits, 

b) pour Pauthentification de Paccredita- 
tion le processus ne comprend qu'un seul 
traitement interactif et probabiliste (et non 
une repetition d'un tel traitement), ce 
traitement unique consistant dans les 
op6rations suivantes : 

- le nombre que le verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornes incluses), 

- Poperation que le verifie effectue pour 
delivrer un temoin t est le produit, dans 
I'anneau des entiers modulo N, de Pele- 
ment r qu'il a lui meme tire au hasard, par la 
puissance Dieme de Paccreditation inverse 
B, le titre etant alors t = r.B D mod N, 

- les operations qu'effectue le verificateur 
sont le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t par la puissance D ieme de 
Pidentite ombragee J, soitt p J D mod N, 

- Poperation de comparaison effectuee 
par le verificateur porte alors sur les bits du 
titre T delivres par le verifie et sur les bits 
obtenus par Poperation precedente, Pau- 
thenticite de Paccreditation etant acquise 
en un seul traitement des lors que tous les 
bits du titre delivre par le verifie sont 
retrouves par le verificateur dans t p J D mod 
N. 

2. Procede d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite : 

a) Paccreditation d'un donneur d'ordre consis- 
tant en un mot numerique B obtenu par un 
procede a cle publique comprenant les opera- 
tions suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombre premiers, forme le 
produit N de ces deux nombres, tient secrets 
ces deux nombres, choisit un entier p et publie 
Net p, 

- pour chaque donneur d'ordre une Identite 
numerique I est constitute puis completee par 
redondance pour former un mot J appele 
identite ombragee, 

- une accreditation A est elaboree par Pautorite 
en prenant la racine p ieme de Pidentite 
ombragee J dans I'anneau des entiers modulo 
N, (A = J^PmodN), 

- dans un support approprie detenu par le 
donneur d'ordre I'autorite charge I'inverse mo- 
dulo N de I'accreditation A, soit un nombre B 
appele accreditation inverse (B p J mod N = 1), 

b) Pauthentification d'un message (m) emis par 
un donneur d'ordre ainsi accredite consistant 
en un processus numerique interactif et proba- 
biliste du type a apport nul de connaissance et 
s'etablissant entre le support du donneur 
d'ordre cense accredite et appele "le verifie B et 
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un organe de verification appele n le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par les opera- 
tions suivantes : 

- le verifie tire d'abord au hasard un entier r 5 
appartenant a Tanneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N et calcule un resultat par une fonction 
de compression en prenant comme argument 

le message m et r? mod N, soit f (m, mod N), le 10 
resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 
bits de titre T, 

- le verificateur tire ensuite au hasard un 
nombre d et demande au verifie d'effectuer 15 
certains operations sur r et sur ['accreditation 
inverse B, ces operations etant liees au nombre 

d tire au hasard par le verificateur et etant 
effectuees dans I'anneau des entiers modulo N, 

- le verifie fournit au verificateur un nombre t, 20 
appele temoin, resultat de ces operations, 

- le verificateur effect ue a son tour des 
operations portant sur le temoin t delivre par le 
verifie et sur Tidentite ombragee J du verifie, 
operations liees elles aussi au nombre D tire au 25 
hasard par le verificateur et effectuees dans 
Tanneau des entiers modulo N, 

- le verificateur forme une fonction de compres- 
sion en prenant comme arguments le message 

a authentifier m et le resultat des operations 30 
precedentes, soit f(m, t, J), 

- le verificateur compare la fonction de com- 
pression obtenue avec le titre T que le verifie a 
delivre en debut de processus de verification, 

ce processus etant caracterise par le fait que : 35 

a) lors de Telaboration de Taccreditation 
du donneur d'ordre, le nombre p servant a 
extraire la racine p ieme de Tidentite 
ombragee est choisi grand et comprend au 
moins une dizaine de bits, 40 

b) pour I'authentification du message, le 
processus ne comprend qu'un seul traite- 
ment interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traite- 
ment unique consistant dans les opera- 45 
tions suivantes : 

- le nombre que le verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornes incluses), 

-I'operation que le verifie effectue pour 50 
delivrer le temoin t est le produit, dans 
I'anneau des entiers modulo N, de Pele- 
ment r qu'il a lui meme tire, par la 
puissance Dierne de Taccreditation inverse 
B, le temoin etant alors r.B D mod N, 55 

- les operations qu'effectue le verificateur 
sont le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
Tidentite ombragee J, SO 

- le verificateur forme la fonction de 
compression du message et du resultat 
des operations precedentes soit f (m, t p J D 
mod N), 

- la comparison que le verificateur effec- 65 



tue porte alors sur la fonction de compres- 
sion qu'il a obtenue et sur le titre T que le 
verifie lui a delivre, en debut de processus 
de verification, Tauthenticite du message 
etant acquise en un seul traitement des 
lors que, a la fin de ce traitement, il y a 
correspondance entre tous les bits de la 
fonction de compression obtenue par le 
verificateur et les bits du titre delivres par 
le verifie. 

3. Procede de signature d'un message par 
une entite, cette entite etant censee etre 
accreditee, 

a) Taccreditation d'une entite signataire de 
messages ayant ete elaboree par un procede a 
cle publique comprenant les operations sui- 
vantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit N de ces deux nombres, tient secrets 
les deux nombres premiers, choisit un entier p 
et publieN etp, 

- pour chaque entite signataire une identite 
numerique I est constitute puis completee par 
redondance pour former un mot J appele 
identite ombragee, 

- une accreditation A est elaboree par Tautorite 
en prenant la racine p ieme de I'identite 
ombragee J dans Tanneau des entiers modulo 
N (A = J 1/p mod N), 

-dans un support approprie detenu par le 
signataire Tautorite charge Tinverse modulo N 
de Taccreditation A, soit un nombre B appele 
accreditation inverse (B p J mod N = 1), 
b) la signature d'un message m par un 
signataire d'identite I consistant en un traite- 
ment numerique probabiliste comprenant les 
operations suivantes : 

- le signataire tire au hasard au moins un entier r 
appartenant a Tanneau des entiers modulo N, 

- le signataire eleve cet entier r a la puissance p 
modulo N, 

- le signataire calcule une fonction de compres- 
sion f en prenant comme arguments le mes- 
sage m a signer et la puissance r p obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur 
Taccreditation inverse B, ces operations etant 
liees au nombre d tire au hasard et etant 
effectuees dans Tanneau des entiers modulo N, 

- le signataire transmet le message m, son 
identite I, le mot d, le ou les temoins t, 
Tensemble constituant un message signe, 

ce procede etant caracterise par le fait que : 

a) lors de Telaboration de Taccreditation 
du signataire le nombre p servant a extraire 
la racine p ieme de Tidentite ombragee est 
choisi grand et comprend plusieurs di- 
zaines de bits, 

b) pour I'operation de signature du 
message : 

- le signataire ne tire au hasard qu'un seul 
entier r appartenant a Tanneau des entiers 
modulo N, 

- la fonction de compression a pour 
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arguments le message m et le puissance p 
ieme de r, ce qui fournit un nombre D, 

- le temoin unique produit par le slgnataire 
est le produit, dans I'anneau des entiers 
modulo N, de rentier r par la puissance D 5 
ieme de I'accreditation inverse B, 

- le signataire fournit, avec le message m t 
son identite I, le mot D et le temoin t. 

4. Systeme d'authentification d'une accredi- 
tation a apport nul de connaissance compre- 10 
nant, 

a) des moyens pour elaborer cette accredita- 
tion par un procede du type a cle publique, ces 
moyens comprenant : 

- chez une autorite habilitee a delivrer des 15 
accreditations des moyens pour choisir deux 
nombres premiers, pour former le produit (N) 

de ces deux nombres, pour tenir secrets ces 
nombres, pour choisir un entier p et pour 
pubiier N et p ; 20 

- des moyens pour constituer, pour chaque 
detenteur d'une accreditation, une identite 
numerique I et pour completer cette identite par 
redondance pour former un mot J appele 
identite ombragee, 25 

- des moyens pour elaborer une accreditation 
A, ces moyens etant aptes a prendre la racine 
pieme de I'identite ombragee dans I'anneau des 
entiers modulo N (A = J 1/p mod N), 

- un support approprie contenant une memoire, 30 
ou est charge I'inverse modulo N de I'accredita- 
tion A soit un nombre B appele accreditation 
inverse (B n J mod N = 1), ce nombre B consti- 
tuant I'accreditation qu'il s'agit d'authentifier, 

b) des moyens d'authentification de I'accredita- 35 
tion comprenant des moyens pour mettre en 
oeuvre un processus numerique interactif et 
probabiliste du type a apport nul de connais- 
sance et s'etablissant entre un support conte- 
nant une accreditation, support appele n le 40 
verifie" et un organe d'authentification appele 

"le verificateur", ces moyens comprenant : 

- un moyen dans le verifie pour tirer d'abord au 
hasard un entier r appartenant a I'anneau des 
entiers modulo N, 45 

- un moyen dans le verifie pour elever cet entier 
r a la puissance p modulo N, le resuitat etant 
appele titre T, 

- des moyens dans le verifie pour delivrer alors 

au moins une partie des bits du titre T, 50 

- des moyens dans le verificateur pour tirer 
ensuite au hasard un nombre (d) et demander 
au verifie d'effectuer certain es operations sur r 
et sur I'accreditation inverse B, ces operations 
etant liees au nombre (d) tire au hasard par les 55 
moyens du verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- des moyens dans le verifie pour delivrer au 
verificateur un nombre t, appele temoin, resuitat 

de ces operations, 60 

- des moyens dans le verificateur pour effectuer 
a son tour des operations portant sur le temoin 
t delivre par le verifie et sur I'identite ombragee 
J du verifie, operations liees elles aussi au 
nombre d tire au hasard par le verificateur et 65 



effectuees dans I'anneau des entiers modulo N, 
- des moyens dans le verificateur pour compa- 
rer le resuitat ainsi obtenu avec les bits du titre 
T que les moyens du verifie ont delivre en debut 
de processus de verification, et admettre 
I'authenticite de I'accreditation s'il retrouve ces 
bits, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens pour elaborer I'ac- 
creditation (B) les moyens pour choisir le 
nombre p servant a extraire la racine p 
ieme de I'identite ombragee (J) sont aptes 
a choisir un nombre grand comprenant au 
moins une dizaine de bits, 

b) dans les moyens pour Tauthentifica- 
tion de race red itation, les moyens sont 
aptes a n'effectuer qu'un seul traitement 
interactif et probabiliste (et non une repeti- 
tion d'un tel traitement), ces moyens 
consistant alors en : 

- des moyens pour que le nombre que le 
verificateur tire au hasard soit un entier D 
compris entre 0 et p-1 (bornes incluses), 

- des moyens dans le verifie pour delivrer 
un temoin t sont aptes a former le produit, 
dans I'anneau des entiers modulo N, de 
['element r tire au hasard, par la puissance 
Dieme de I'accreditation inverse B, le titre 
etant alors t = r.B D mod N, 

- des moyens dans le verificateur aptes a 
calculer le produit, dans I'anneau des 
entiers modulo N, de la puissance p ieme 
du temoin t par la puissance D ieme de 
I'identite ombragee J, soit t p J D mod N, 

- des moyens de comparaison dans le 
verificateur aptes a comparer les bits du 
titre T delivres par les moyens du verifie et 
sur les bits obtenus par I'operation prece- 
dente, I'authenticite de I'accreditation 
etant acquise en un seul traitement des 
lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur 
dans tP J D mod N. 

5. systeme d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite, ce systeme comprenant : 
a) des moyens disposes chez un donneur 
d'ordre pour former un mot numerique B 
obtenu par un procede a cle publique et 
comprenant les moyens suivants : 

- des moyens chez une autorite habilitee a 
delivrer des accreditations pour choisir deux 
nombre premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets ces deux 
nombres, pour choisir un entier p et pour 
pubiier N et p, 

- des moyens pour constituer, pour chaque 
donneur d'ordre, une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identite ombragee, 

- des moyens pour elaborer une accreditation A 
par I'autorite et pour prendre la racine p ieme de 
I'identite ombragee J dans I'anneau des entiers 
modulo N, (A = J 1/p mod N), 

- un support approprie detenu par le donneur 
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d'ordre, I'autorite chargeant dans ce support 
I'inverse modulo N de I'accreditation A, soit un 
nombre B appele accreditation inverse (Bp J 
modN = 1), 

b) des moyens d'authentification d'un message 5 
(m) emis par un donneur d'ordre ainsi accre- 
dits comprenant des moyens de mise en oeuvre 
d'un processus numerique interactif et probabi- 
liste du type a apport nul de connaissance et 
s'etablissant entre le support du donneur 10 
d'ordre cense accredits et appele *le verifie" et 
un organe de verification appele "le verifica- 
teur", ces moyens comprenant : 

- des moyens dans le verifie pour tirer d'abord 

au hasard un entier r appartenant a I'anneau des 15 
entiers modulo N, 

- des moyens dans le verifie pour elever cet 
entier r a la puissance p modulo N et calculer un 
resultat par une fonction de compression en 
prenant comme argument le message rn et r p 20 
mod N, soit f(m, r p mod N), le resultat etant 
appele titre T, 

- des moyens dans le verifie pour delivrer alors 
au moins une partie des bits du titre T, 

- des moyens dans le verificateur pour tirer 25 
ensuite au hasard un nombre d et demande aux 
moyens du verifie d'effectuer certaines opera- 
tions sur r et sur I'accreditation inverse B, ces 
operations etant liees au nombre d tire au 
hasard par le verificateur et etant effectuees 30 
dans I'anneau des entiers modulo N, 

- des moyens dans le verifie pour fournir au 
verificateur un nombre t, appele temoin, resultat 
de ces operations, 

- des moyens dans le verificateur pour effectuer 35 
a son tour des operations portant sur le temoin 

t delivre par les moyens du verifie et sur 
I'identite ombragee J du verifie, operations liees 
elles aussi au nombre D tire au hasard par le 
verificateur et effectuees dans I'anneau des 40 
entiers modulo N, 

- des moyens dans le verificateur pour former 
une fonction de compression en prenant 
comme arguments le message a authentifier m 

et le resultat des operations precedentes, soit 45 
f(m, t, J), 

- des moyens dans le verificateur pour compa- 
rer la fonction de compression obtenue avec le 
titre T que le verifie a delivre en debut de 
processus de verification, 50 
ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
I'accreditation du donneur d'ordre, le nom- 
bre p servant a extraire la racine p ieme de 
I'identite ombragee est cholsi grand et 55 
comprend au moins une dizaine de bits, 

b) dans les moyens d'authentification du 
message, les moyens sont aptes a mettre 
en oeuvre un processus qui ne comprend 
qu'un seul traitement interactif et probabi- 60 
liste (et non une repetition d'un tel traite- 
ment), ces moyens comprenant : 

- des moyens dans le verificateur pour tirer 
au hasard un entier D compris entre 0 et 
p-1 (bornesincluses), 65 



- des moyens dans le verifie pour delivrer le 
temoin t qui soit le produit, dans I'anneau 
des entiers modulo N, de I'element r qu'il a 
lui meme tire, par la puissance Dieme de 
I'accreditation inverse B, le temoin etant 
alors r.B D mod N, 

- des moyens dans verificateur pour effec- 
tuer le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
I'identite ombragee J, 

- des moyens dans le verificateur pour 
former la fonction de compression du 
message et du resultat des operations 
precedentes soit f(m, t p J D mod N), 

- les moyens de comparaison dans le 
verificateur portant alors sur la fonction de 
compression que les moyens du verifica- 
teur ont obtenue et sur le titre T que les 
moyens du verifie lui ont delivre en debut 
de processus de verification, I'authenticite 
du message etant acquise en un seul 
traitement des lors que, a la fin de ce 
traitement, il y a correspondance entre 
tous les bits de la fonction de compression 
obtenue par le verificateur et les bits du 
titre delivres par le verifie. 

6. Systeme pour signer un message par une 
entite, cette entite etant censee etre accredi- 
tee, ce systeme comprenant, 

a) des moyens pour elaborer une accreditation 
d'une entite signataire de messages, ces 
moyens mettant en oeuvre un procede a cle 
pubiique et comprenant : 

- des moyens chez une autorite habilitee a 
delivrer des accreditations pour choisir deux 
nombres premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets les deux 
nombres premiers, pour choisir un entier p et 
pourpubiierNetp, 

- des moyens pour constituer, pour chaque 
entite signataire, une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identite ombragee, 

- des moyens pour elaborer une accreditation A 
par I'autorite, ces moyens etant aptes a prendre 
la racine p ieme de Tidentite ombragee J dans 
I'anneau des entiers modulo N (A « J 1/p mod 
N), 

- un support approprie detenu par la signataire 
0C1 I'autorite peut charger I'inverse modulo N de 
I'accreditation A, soit un nombre B appele 
accreditation inverse (B p J mod N = 1), 

b) des moyens pour constituer la signature d'un 
message m par un signataire d'identite I et 
comprenant : 

- des moyens chez le signataire pour tirer au 
hasard au moins un entier r appartenant a 
I'anneau des entiers modulo N. 

- des moyens chez le signataire pour elever cet 
entier r a la puissance p modulo N, 

- des moyens chez le signataire pour calculer 
une fonction de compression f en prenant 
comme arguments le message m a signer et la 
puissance obtenue, 
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- des moyens chez le signataire pour former au 
moins un temoin t en effectuant certaines 
operations sur r et sur I'accreditation inverse B, 
ces operations etant liees au nombre d tire au 
hasard et etant effectuees dans Tanneau des 
entiers modulo N, 

- des moyens chez le signataire pour transrrtet- 
tre le message m, son identite I, le mot d, le ou 
les temoins t, I'ensemble constituant un mes- 
sage signe, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
I'accreditation du signataire les moyens 
pour choisir le nombre p servant a extraire 
la racine p ieme de I'identite ombragee 
sont aptes a choisir un nombre grand 
comprenant plusieurs dizaines de bits, 

b) dans les moyens pour Poperation de 
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signature du message : 

- les moyens du signataire ne tirent au 
hasard qu'un seul entier r appartenant a 
Tanneau des entiers modulo N, 

- les moyens de compression operent avec 
des arguments qui sont le message m et la 
puissance p ieme de r, ce qui fournit un 
nombre D, 

- les moyens pour produire le temoin 
unique par le signataire sont aptes a 
former le produit, dans Tanneau des en- 
tiers modulo N, de rentier r par la puis- 
sance D ieme de I'accreditation inverse B, 

- les moyens du signataire fournissent, 
avec le message m, sont identite I, le mot D 
et le temoin t. 
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